社交网络访问控制安全研究

摘要

社交网络近几年发展迅猛，改变了互联网用户之间的信息交流方式。国内的人人网、新浪微博以及国外的Facebook就是这样一类网站。它们所带来的巨大的用户量引发了海量的个人信息曝之于众，用户隐私和个人数据面临极大挑战，社交网络的安全问题引起人们广泛关注，其中隐私泄露成为对社交网络安全的最大威胁。
　　访问控制是社交网络的核心架构之一，它决定着信息与访问者之间的权限管理和分配，是保护用户隐私的最主要模块。然而由于社交网络的访问控制不同于其它Web系统的新特性，使得从底层模型设计到上层的安全测试的常规方法在社交网络平台并不适用，因此导致大量安全问题出现。
　　很多学者进行了这一方面的研究工作，但是不同的研究课题涉及面很广，并且其中的关联性并不明显，因此本文做了以下工作：
　　1.发现了一种新的社交网络访问控制安全漏洞，并给出详细的挖掘方法和步骤。
　　2.对访问控制模块出现的安全问题给出了测试方法，汇总出一套社交网络访问控制评估框架，包含具体的安全评估流程、方式和范围，使每一项的评估有章可循。
　　3.将成果应用于现实中社交网络如Facebook和人人网的安全评估，发现了部分安全问题。结合评估结果，社交网络开发者可以从访问控制模型、测试方法以及防御策略设定这几方面进行改进，从一定程度上减少访问控制方面的安全隐患。